理论教育 用户组权限简介-信息安全基础

用户组权限简介-信息安全基础

时间:2023-11-24 理论教育 版权反馈
【摘要】:对每一个资源,每个用户、组和其他人的访问权限都可以指定为读、写或执行。通常,用户账户和组成员的相关信息保存在/etc/passwd和/etc/group文件中。其他需要但不必登录的账户,应该禁用其登录权限,相关联的口令或认证证书也要删除掉。加固Unix和Linux系统的指南,通常也建议更改对关键目录和文件的访问权限,以进一步限制对它们的访问。这被称为本地利用漏洞。普遍认为,能够设置超级用户权限的程序应该尽可能少。

用户组权限简介-信息安全基础

Unix和Linux实现了对所有文件系统资源的自主访问控制,不仅包括文件和目录,也包括设备、进程、内存等大多数系统资源。对每一个资源,每个用户、组和其他人的访问权限都可以指定为读、写或执行。这可以通过chmod命令来设置。一些系统也支持带有访问控制列表的扩展文件属性,来提供更加灵活的访问控制。在访问控制列表中,可以为每个用户和组指定读、写或执行权限。这些扩展的访问权限通常使用getfacl和setfacl命令来设置和显示。这些命令也可用来指定用户和组对资源的访问权限。

通常,用户账户和组成员的相关信息保存在/etc/passwd和/etc/group文件中。现代操作系统也可以通过LDAP或NIS等工具从外部存储库中导入这些信息。这些信息的来源,以及任何相关联的认证证书,是在可插拔认证模块PAM(Pluggable Authentication Module)配置中指定的,通常使用/etc/pam.d目录中的文本文件来指定。

为了分开对系统中信息和资源的访问,用户需要被分配到合适的组,以便赋予他们任何需要的访问权限。组的数量和分配应该在系统安全规划过程中确定,随后配置到合适的信息库中—— 或者使用本地的/etc目录中的文件,或者在某些集中式数据库中。此时,任何默认的或系统提供的通用账户都应该被检查,如果不需要就删除掉。其他需要但不必登录的账户,应该禁用其登录权限,相关联的口令或认证证书也要删除掉。(www.daowen.com)

加固Unix和Linux系统的指南,通常也建议更改对关键目录和文件的访问权限,以进一步限制对它们的访问。那些能把普通用户设置为超级用户(Root)或把普通组设置为特权组的程序是攻击者的主要目标。不过,无论谁执行这类程序,都需要有超级用户权限,或者需要访问属于特权组的资源。这类程序的软件漏洞很容易被攻击者利用,用来提升其权限。这被称为本地利用漏洞。网络服务器上的能够被远程攻击者触发的软件漏洞,称为远程利用漏洞。

普遍认为,能够设置超级用户权限的程序应该尽可能少。但是不能没有,因为访问系统中的某些资源需要超级用户权限。管理用户登录的程序,以及将网络服务绑定到特权端口上的程序,就是需要超级用户权限的例子。但是,其他为了程序员编程方便而使用Setuid更改到Root权限程序,完全可以通过Setgid将其更改到可以访问某些资源的特权组,如显示系统状态或递交邮件的程序。系统加固指南可能会建议,如果特定系统并不需要这类程序,可以修改甚至删除它们。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈